A técnica de análise a ser utilizada será a de análise de conteúdo, sintetizando-se os assuntos abordados na legislação em quadros categorizados por temas correlatos ao normativo técnico sobre governança de Tecnologia da Informação adotado (COBIT). A categorização a ser utilizada para os dispositivos legais será a mesma utilizada pelo COBIT para a organização dos processos de TI, os quais são classificados em quatro categorias (ou dimensões, segundo o COBIT), a saber: PO – Planejar e Organizar; AI – Adquirir e Implementar; DS – Entregar e Suportar; ME – Monitorar e Avaliar.
Com base na comparação entre as disposições legais e as normas técnicas, registrar-se-á, em colunas próprias da planilha comparativa, as omissões e imperfeições da primeira (legislação) em relação à segunda (COBIT).
Devido às restrições de tempo para essa pesquisa, faz-se necessário reduzir o seu escopo no que se refere à quantidade de processos de TI do COBIT que serão utilizados para efeito de comparação com a legislação existente.
Conforme exposto no referencial teórico, o COBIT possui 34 processos distribuídos em quatro dimensões (PO – Planejar e Organizar; AI – Adquirir e Implementar; DS – Entregar e Suportar; ME – Monitorar e Avaliar), de forma que é necessário o
estabelecimento prévio de um critério para escolher os processos que comporão esta pesquisa.
Como antecipado no tópico de revisão teórica do COBIT, a matriz de mapeamentos dos processos de TI constante do Apêndice II daquele manual constitui a base para a seleção dos processos.
Definiu-se que seriam consideradas relevantes para o trabalho três das cinco áreas foco de governança de TI constantes do mapeamento:
a) alinhamento estratégico;
b) entrega de valor;
c) gerenciamento de recursos.
Tal escolha baseou-se em elementos da definição de governança de TI no setor público, conforme exposto na revisão teórica:
tem-se que a Governança de TI nos órgãos públicos, como é o caso do CNJ, deve estar a serviço do cumprimento da missão e do alcance dos objetivos do governo. Esse alinhamento TI/negócio deve contribuir para o aperfeiçoamento da governança pública, promovendo níveis crescentes de eficácia, eficiência, transparência, segurança e redução de custos governamentais
O alinhamento estratégico faz parte do próprio conceito de planejamento estratégico e de seu desdobramento nos diversos níveis da organização. Os recursos da organização – no caso, os recursos de TI – devem ser direcionados para o cumprimento da missão e do alcance dos objetivos da organização.
A entrega de valor e o gerenciamento de recursos são intimamente relacionados à eficácia, eficiência e redução de custos, os quais, no âmbito governamental, são impositivos legais, como já visto na contextualização deste trabalho.
Quanto aos critérios de informação de TI, selecionaram-se todas as características elencadas na matriz por se considerar que a ausência de qualquer uma delas, principalmente quando se trata de informação governamental e, portanto, revestida de alto valor político, econômico e social, compromete fortemente a qualidade do uso da tecnologia da informação. Não se pode aceitar que uma informação produzida e gerenciada pelo setor público não seja eficaz, eficiente, confidencial (quando necessário), íntegra, disponível, conforme a lei e confiável.
No primeiro ciclo de seleção de processos de TI, optou-se por buscar todos os processos assinalados na referida matriz de mapeamento com a
importância relativa alta (letra “H”). Dessa forma, foram destacados os nove processos a seguir:
PO1 Definir um Plano Estratégico de TI PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos
AI6 Gerenciar Mudanças
DS5 Assegurar a Segurança dos Sistemas DS11 Gerenciar os Dados
ME1 Monitorar e Avaliar o Desempenho de TI
ME3 Assegurar a Conformidade Com Requisitos Externos ME4 Prover Governança de TI
No segundo ciclo, foram selecionados os processos assinalados com a importância relativa média (letra “M”) que tivessem quatro ou mais relacionamentos primários (letra “P”) com as áreas foco de governança de TI e os critérios de informação de TI elencados. Assim, foram selecionados mais dois processos:
AI2 Adquirir e Manter Software Aplicativo DS1 Definir e Gerenciar Níveis de Serviços
No terceiro ciclo, foram selecionados os processos da dimensão “Planejar e Organizar” assinalados com a importância relativa média (letra “M”) que tivessem três relacionamentos primários (letra “P”) com as áreas foco de governança de TI e os critérios de informação de TI elencados. Assim, foram selecionados mais dois processos. Dessa forma, outros três processos foram escolhidos:
PO3 Determinar as Diretrizes de Tecnologia PO5 Gerenciar o Investimento de TI
PO8 Gerenciar a Qualidade
Por fim, utilizando-se de prerrogativa própria das pesquisas qualitativas, foram escolhidos outros dois processos, os quais, segundo entendimento do pesquisador, não poderiam ser omitidos. Um deles relacionados à gestão de pessoas, campo fundamental da ciência administrativa, e o outro à não interrupção dos serviços, requisito essencial do serviço público:
PO7 Gerenciar os Recursos Humanos de TI DS4 Assegurar a Continuidade dos Serviços
Dessa maneira, foram selecionados os dezesseis processos de TI, ordenados no Quadro 2.
PO – Planejar e Organizar
PO1: Definir um Plano Estratégico de TI PO3: Determinar as Diretrizes de Tecnologia PO5: Gerenciar o Investimento de TI
PO7: Gerenciar os Recursos Humanos de TI PO8: Gerenciar a Qualidade
PO9: Avaliar e Gerenciar os Riscos de TI PO10: Gerenciar Projetos
AI – Adquirir e Implementar
AI2: Adquirir e Manter Software Aplicativo AI6: Gerenciar Mudanças
DS – Entregar e Suportar
DS1: Definir e Gerenciar Níveis de Serviço DS4: Assegurar a Continuidade dos Serviços DS5: Garantir a Segurança dos Sistemas DS11: Gerenciar os Dados
ME – Monitorar e Avaliar
ME1: Monitorar e Avaliar o Desempenho de TI
ME3: Assegurar a Conformidade com Requisitos Externos ME4: Prover Governança de TI
Quadro 3 – Processos de TI do COBIT selecionados
No Apêndice I do COBIT consta uma matriz ligando os 34 processos de TI a 28 objetivos de TI (COBIT, p. 174). Utilizou-se essa matriz para verificar com que grau os dezesseis processos de TI selecionados atenderiam àqueles objetivos de TI. Assim feito, constatou-se que somente os quatro objetivos de TI listados a seguir não contaram com nenhum processo de TI diretamente a eles relacionados:
a) Adquirir e manter uma infraestrutura de TI integrada e padronizada;
b) Assegurar a satisfação mútua no relacionamento com terceiros;
c) Assegurar a integração dos aplicativos com os processos de negócios;
d) Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.
Com esse resultado, considera-se que a seleção de processos de TI foi bastante satisfatória, pois com 47% dos processos (16/34) foi possível atingir 86%
dos objetivos de TI (24/28). Do ponto de vista qualitativo, também se considera satisfatório, pois os quatro objetivos de TI não mapeados poderiam ser considerados
secundários e compensados ou supridos por outros, de maior importância ou abrangência, que versassem sobre tema semelhante. Por exemplo, “adquirir e manter uma infraestrutura de TI integrada e padronizada” provavelmente é um objetivo intermediário para se atingir o objetivo de “otimizar a infraestrutura, recursos e capacidades de TI”, o qual é suportado pelo processo selecionado “PO3 Determinar as Diretrizes de Tecnologia”.
Uma vez selecionados os processos de TI que serão utilizados como critério de comparação, coleta-se a leis sobre governança de TI aplicáveis ao CNJ, segundo a metodologia já exposta, categorizando seus dispositivos de acordo com as quatro dimensões do COBIT, conforme mencionado no parágrafo inicial deste tópico.
Nesse estágio do trabalho deverá ser criado um quadro comparativo entre os processos selecionados do COBIT e os dispositivos legais que contribuem para que esses processos sejam implantados no CNJ.
4 RESULTADOS E DISCUSSÃO
Por se tratar de uma pesquisa qualitativa baseada na análise de documentos, no caso, leis e outras espécies normativas, tais como resoluções e portarias, a coleta de dados consistiu na busca desse material nos sítios da internet de órgãos públicos, principalmente na página do CNJ.
O portal do CNJ na internet possui uma página destinada aos atos administrativos do órgão (http://www.cnj.jus.br/atos-administrativos) com links para as diversas espécies normativas emitidas (Instrução Normativa, Portaria, Resolução etc), sobre as quais foi realizada pesquisa exaustiva.
No Quadro 4 constam, em ordem cronológica, as normas identificadas segundo o escopo deste trabalho.
Quadro 4 – Legislação sobre Governança de TI identificada
No Quadro 5 consta o resultado da extração dos artigos relevantes em termos de governança de TI, da legislação identificada na pesquisa (Quadro 4).
Esse quadro apresenta, também, o mapeamento desses artigos para os processos
Origem Espécie Número Data Assunto
PR Decreto 4.553 27/12/2002 Classificação da informação PR Decreto 5.707 23/02/2006 Desenvolvimento de pessoal GSI/PR IN 1 13/06/2008 Segurança da informação
GSI/PR NC 2 13/10/2008 Metodologia de gestão de segurança da informação
CNJ Resolução 70 18/03/2009 Planejamento e gestão estratégica CNJ Resolução 79 09/06/2009 Divulgação de informações
GSI/PR NC 3 30/06/2009 Política de segurança da informação CN Lei 12.017 12/08/2009 Diretrizes Orçamentárias (LDO)
GSI/PR NC 4 14/08/2009 Gestão de riscos de segurança da informação
GSI/PR NC 5 14/08/2009 Equipes de tratamento e resposta a incidentes em redes computacionais CNJ Resolução 90 29/09/2009 Requisitos de nivelamento de TI CNJ Resolução 91 29/09/2009 Desenvolvimento de sistemas GSI/PR NC ¨6 11/11/2009 Gestão de continuidade do negócio CNJ Resolução 99 24/11/2009 Planejamento estratégico de TIC GSI/PR NC 7 06/05/2010 Controle de acesso
GSI/PR NC 8 19/08/2010 Gerenciamento de incidentes em redes computacionais
CNJ Resolução 121 05/10/2010 Divulgação de informações GSI/PR NC 9 19/11/2010 Uso de criptografia
CNJ Portaria 222 03/12/2010 Comitê Nacional de Gestão de TIC
de TI do COBIT. No Anexo A, consta a ementa das normas legais selecionadas, bem como o texto de seus artigos referenciados neste trabalho.
Norma Artigo Processo COBIT
Dec. 4.553/2002 Art. 5º PO2
Art. 1º PO7
Dec. 5.707/2006 Art. 1º, III PO4
Art. 1º DS5
Arts. 3º a 7º PO4
Art. 3º, III DS8
Art. 3º, IV PO7
Art. 3º, VI ME2
Art. 3º, VII PO5
Art. 5º, III PO5
Art. 5º, V DS8
Art. 5º, VII DS5
IN GSI 1/2008
Art. 5º, VIII ME2
Item 2.1 PO8
Item 3.1 a 3.1.2 DS5
Item 3.1.3 a 3.1.8 PO9
Item 3.1.9 DS5
NC GSI 2/2008
Item 3.3 PO8; ME2
Art. 1º, IV, “g” PO1
Art. 1º, IV, “g”, objetivo 13 AI3 Art. 1º, IV, “g”, objetivo 14 AI2 Res. CNJ 70/2009
Art. 2º PO1
Res. CNJ 79/2009 Art. 2º ME3
Item 2.1 c/c item 6 DS5
Item 5.1 PO4
NC GSI 3/2009
Item 5.3.7 PO4
Lei 12.017/2009 Art. 9º, II c/c Anexo II, XVIII PO5 NC GSI 4/2009 Item 4.2 c/c item 5, caput PO9
NC GSI 5/2009 Item 7 DS8
Art. 2º PO4
Art. 2º, § 2º, I ME4
Art. 2º, § 2º, II PO10
Art. 2º, § 2º, III PO1
Art. 2º, § 2º, IV DS5
Art. 2º, § 2º, V AI3
Art. 2º, § 2º, VI DS2
Art. 2º, § 3º PO4
Art. 2º, § 4º PO4
Art. 3º PO7
Art. 4º AI2
Art. 4º, parágrafo único DS2
Art. 5º DS2; DS4
Art. 6º AI2
Art. 8º ME3
Art. 9º AI3
Art. 9º, § 2º DS9
Art. 10 PO4; DS9; ME4
Art. 11 PO1
Art. 11, parágrafo único PO3
Art. 12 PO4
Res. CNJ 90/2009
Art. 13 DS5
Art. 16 ME4
Art. 17 ME1
Res. CNJ 91/2009 Art. 2º AI2
NC GSI 6/2009 Item 6.1 DS4
Art. 2º PO1
Res. CNJ 99/2009 Art. 2º, § 3º PO5
NC GSI 7/2010 Item 2.6 DS5
NC GSI 8/2010 Item 2.1 DS8
Art. 1º ME3
Art. 2º PO4
Res. CNJ 121/2009
Art. 3º DS5
NC GSI 9/2010 Item 2.1.1 DS5
Art. 1º PO4
Art. 3º, III DS5
Art. 3º, IV AI2
Art. 3º, V AI2
Art. 3º, VI AI2
Art. 3º VII PO7
Port. CNJ 222/2010
Art. 3º, VIII AI1
Quadro 5 – Artigos da legislação sobre Governança de TI
No Quadro 6 é apresentado o resultado principal desta pesquisa. Trata-se do mapeamento dos processos de TI do COBIT, considerados prioritários para efeito desta investigação, para a legislação sobre governança de TI aplicável ao Conselho Nacional de Justiça. Em termos práticos, o quadro 4.3 consiste na junção do quadro 3.4.1 com o quadro 4.2.
Processo COBIT Norma Artigo
PO – Planejar e Organizar
Res. CNJ 70/2009 Art. 1º, IV, “g”
Art. 2º
Res. CNJ 90/2009 Art. 2º, § 2º, III Art. 11
PO1: Definir um Plano Estratégico de TI
Res. CNJ 99/2009 Art. 2º
PO3: Determinar as Diretrizes de Tecnologia Res. CNJ 90/2009 Art. 11, parágrafo único IN GSI 1/2008 Art.3º, VII
Art. 5º, III PO5: Gerenciar o Investimento de TI
Lei 12.017/2009 Art. 9º, II c/c Anexo II, XVIII
Decreto 5.707/2006 Art. 1º IN GSI 1/2008 Art. 3º, IV Res. CNJ 90/2009 Art. 3º Dec. 5.707/2006 Art. 1º, III PO7: Gerenciar os Recursos Humanos de TI
Port. CNJ 222/2010 Art. 3º, VII PO8: Gerenciar a Qualidade NC GSI 2/2008 Item 2.1
Item 3.3
NC GSI 2/2008 Itens 3.1.3 a 3.1.8 PO9: Avaliar e Gerenciar os Riscos de TI
NC GSI 4/2009 Item 4.2 c/c item 5, caput PO10: Gerenciar Projetos Res. CNJ 90/2009 Art. 2º, § 2º, II
AI – Adquirir e Implementar
Res. CNJ 70/2009 Art. 1º, IV, “g”, objetivo 14 Res. CNJ 90/2009 Art. 4º
Art. 6º Res. CNJ 91/2009 Art. 2º AI2: Adquirir e Manter Software Aplicativo
Port. CNJ 222/2010 Art. 3º, IV; V; VI AI6: Gerenciar Mudanças
DS – Entregar e Suportar
DS1: Definir e Gerenciar Níveis de Serviço
Res. CNJ 90/2009 Art. 5º DS4: Assegurar a Continuidade dos
Serviços NC GSI 6/2009 Item 6.1
IN GSI 1/2008 Art. 1º Art. 5º, VII NC GSI 2/2008 Item 3.1 a 3.1.2
Item 3.1.9
NC GSI 3/2009 Item 2.1 c/c item 6 Res. CNJ 90/2009 Art. 2º, § 2º, IV
Art. 13 NC GSI 7/2010 Item 2.6 NC GSI 9/2010 Item 2.1.1 Res. CNJ 121/2009 Art. 3º DS5: Garantir a Segurança dos Sistemas
Port. CNJ 222/2010 Art. 3º, III DS11: Gerenciar os Dados
ME – Monitorar e Avaliar
ME1: Monitorar e Avaliar o Desempenho de
TI Res. CNJ 90/2009 Art. 17
Res. CNJ 79/2009 Art. 2º Res. CNJ 90/2009 Art. 8º ME3: Assegurar a Conformidade com
Requisitos Externos
Res. CNJ 121/2009 Art. 1º ME4: Prover Governança de TI Res. CNJ 90/2009
Art. 2º, § 2º, I Art. 10 Art. 16 Quadro 6 – Mapeamento dos processos de TI para a legislação identificada
Não foi encontrado normativo legal versando sobre os três processos de TI relacionados na Tabela 1, cuja construção foi baseada no mapeamento de
processos de TI para as áreas foco de Governança de TI e para os critérios de informação, constante do Apêndice II do COBIT (COBIT, 2007, p. 177).
Áreas foco de Governança de TI
Critérios de Informação do COBIT
Processos de TI Importância Alinhamento Estratégico Entrega de Valor Gerenciamento de Recursos Gerenciamento de Riscos Medição de Performance Eficácia Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
AI6 Gerenciar Mudanças H P S P P P P S
DS1 Definir e Gerenciar Níveis de
Serviço M P P P P P P S S S S S
DS11 Gerenciar os Dados H P P P P P
Tabela 1 – Processos de TI não mapeados
Importância Relacionamento H – alta P – primário M – média S – secundário
Conforme se observa dos relacionamentos constantes da Tabela 1, o COBIT atribui grau de importância alto aos processos AI6 – Gerenciar Mudanças e DS11 – Gerenciar os Dados. Embora tenha sido atribuído grau de importância médio ao processo DS1 – Definir e Gerenciar Níveis de Serviço, depreende-se da Tabela 1 que ele apresenta um relacionamento muito forte com as áreas foco de Governança de TI e com os critérios de informação.
No que se refere ao relacionamento desses processos de TI com os objetivos de TI e destes com os objetivos de negócios, a Tabela 2 sintetiza essa informação, com base nas tabelas de relacionamento constantes do Apêndice I do COBIT (COBIT, 2007, p. 170-175).
Objetivos de Negócios
Perspectiva Financeira Perspectiva do Cliente Perspectiva Interna
Processos de TI Objetivos de TI
AI6 DS1 DS11 2 Gerenciar os riscos de negócios relacionados a TI 4 Aprimorar orientação para clientes e serviços 6 Estabelecer a continuidade e disponibilidade dos serviços 7 Criar agilidade em responder a requerimentos de negócios 9 Obter informações confiáveis e úteis para o processo de decisões estratégicas 10 Aprimorar e manter a funcionalidade dos processos de negócios 12 Conformidade com leis externas, regulamentos e contratos 14 Gerenciar mudanças de negócios 1 Responder aos requerimentos de
negócios de maneira alinhada com a
estratégia de negócios
3 Assegurar a satisfação dos usuários
finais com a oferta e níveis de serviços
4 Otimizar o uso da informação
6 Definir como funções de negócios e requerimentos de controles são convertidos em soluções
automatizadas efetivas e eficientes
12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI
16 Reduzir os defeitos e retrabalhos na
entrega de serviços e soluções
19 Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas
22 Assegurar o mínimo impacto para os negócios no caso de uma parada ou
mudança nos serviços de TI
26 Manter a integridade da informação
e da infraestrutura de processamento
27 Assegurar a conformidade de TI
com leis, regulamentos e contratos
Tabela 2 – Processos de TI / Objetivos de TI / Objetivos de Negócio
A análise dos dados constantes da Tabela 2 leva ao entendimento de que os três processos de TI para os quais não foi identificada legislação a respeito – AI6-Gerenciar Mudanças; DS1-Definir e AI6-Gerenciar Níveis de Serviços; DS11-AI6-Gerenciar os Dados – constituem suporte bastante importante para se atingir os objetivos de negócio, especialmente naqueles pertinentes à perspectiva do cliente e à perspectiva interna. Nesta última, a conformidade com leis, regulamentos e contratos, essencial na administração pública, tem substancial suporte nos processos de TI relativos à gerência de mudanças e de dados.
Quanto aos processos de TI selecionados, para os quais houve legislação mapeada neste trabalho, é possível emitir algumas considerações:
a) Os processos da dimensão “Planejar e Organizar” possuem um bom suporte na legislação encontrada, à exceção do processo “PO8-Gerenciar a Qualidade”, considerada insuficiente porque os normativos encontrados provêm do GSI/PR e, portanto, a previsão neles existente de melhoramento contínuo dos serviços é direcionada especificamente à gestão da segurança da informação.
b) Na dimensão “Adquirir e Planejar”, o processo “AI2-Adquirir e Manter Software Aplicativo” encontra bom apoio na legislação produzida pelo próprio CNJ, destacando-se a Resolução CNJ 91/2009 que aprovou um Modelo de Requisitos para Sistemas Informatizados de Gestão de Processos e Documentos do Poder Judiciário. O outro processo selecionado nessa dimensão (AI6-Gerenciar Mudanças) não teve legislação pertinente a ele encontrada, conforme mencionado anteriormente.
c) Na dimensão “Entregar e Suportar”, dos quatro processos selecionados, dois deles também não tiveram legislação pertinente encontrada (DS1-Definir e Gerenciar Níveis de Serviço e DS11-Gerenciar os Dados), conforme já relatado. Para os outros dois processos (DS4-Assegurar a Continuidade dos Serviços e DS5-Garantir a Segurança dos Sistemas) foi encontrada boa legislação a respeito, principalmente a produzida pelo GSI/PR que é abrangente e bem detalhada.
d) A dimensão “Monitorar e Avaliar” conta com boa legislação apoiando os três processos de TI selecionados. A disposição trazida pelo art. 17
da Resolução CNJ 90/2009 para que o CNJ realize, anualmente, diagnóstico para avaliar o nível da infraestrutura e serviços de TIC no Poder Judiciário (o que, naturalmente, inclui ele próprio), traz excelente suporte ao processo “ME1-Monitorar e Avaliar o Desempenho de TI”. Os três dispositivos legais que apoiam o processo “ME3-Assegurar a Conformidade com Requisitos Externos”
visam assegurar o cumprimento do princípio constitucional da publicidade. Nesse ponto, crê-se que a legislação poderia ser aperfeiçoada com a criação de novos dispositivos que buscassem a conformidade com outros requisitos externos, a exemplo dos princípios da eficiência e do controle. Com relação ao processo “ME4-Prover Governança de TI”, a Resolução CNJ 90/2009, em três oportunidades, atua nessa direção: (i) no art. 2º, § 2º, inciso I, a governança de TIC é definida como atividade estratégica; (ii) no art.
10, é determinada a adequação de vários aspectos de TI às melhores práticas consolidadas no padrões nacionais e internacionais; (iii) no art. 16, é determinada a formulação de plano de trabalho e cronograma para atendimento dos critérios estabelecidos na Resolução CNJ 90/2009.
Impende ressaltar a importância da Resolução CNJ 90/2009, não porque seja mais importante que as demais, mas pela sua abrangência e alcance. Além de ser destinada, como as outras normas do CNJ aqui citadas, a todo o Poder Judiciário, alcança 14 processos do COBIT (Quadro 5).
Em face das considerações expendidas até o momento, é forçoso concluir pela necessidade de produção legislativa como o intuito de aperfeiçoar o nível de maturidade das práticas de tecnologia da informação relacionadas aos processos de TI constantes do Quadro 7, a seguir.
Processo de TI Motivo
PO – Planejar e Organizar
PO8: Gerenciar a Qualidade A legislação encontrada se restringe apenas à segurança da informação
AI – Adquirir e Implementar
AI6: Gerenciar Mudanças Não foi encontrada legislação a respeito DS – Entregar e Suportar
DS1: Definir e Gerenciar Níveis de Serviço Não foi encontrada legislação a respeito DS11: Gerenciar os Dados Não foi encontrada legislação a respeito ME – Monitorar e Avaliar
ME3: Assegurar a Conformidade com Requisitos Externos
A legislação encontrada se restringe apenas ao princípio constitucional da publicidade Quadro 7 – Processos de TI carentes de legislação
Faz-se necessário falar dos processos de TI não selecionados para o escopo desta pesquisa, mas para os quais foi detectada legislação indutora de melhoria (Quadro 8).
PO – Planejar e Organizar
PO2: Definir a Arquitetura da Informação
PO4: Definir os Processos, a Organização e os Relacionamentos de TI AI – Adquirir e Implementar
AI1: Identificar Soluções Automatizadas DS – Entregar e Suportar
DS2: Gerenciar Serviços Terceirizados
DS8: Gerenciar a Central de Serviço e os Incidentes DS9: Gerenciar a Configuração
ME – Monitorar e Avaliar
ME2: Monitorar e Avaliar os Controles Internos
Quadro 8 – Processos não selecionados, com legislação encontrada
Desses processos, cabe destacar dois deles: (i) PO4-Definir os Processos, a Organização e os Relacionamentos de TI; (ii) ME2-Monitorar e Avaliar os Controles Internos.
Foram identificados dispositivos legais que dão suporte ao processo
“PO4-Definir os Processos, a Organização e os Relacionamentos de TI” em seis das dezenove leis encontradas, o que caracteriza a grande importância atribuída pela Administração Pública a esse processo. No entanto, é oportuno ressaltar que no mapeamento realizado no Apêndice II do COBIT esse processo foi classificado com grau de importância baixo (COBIT, 2007, p. 177).
Os dispositivos que apóiam o processo “ME2-Monitorar e Avaliar os Controles Internos”, encontrados na IN GSI 1/2008 e na NC GSI 2/2008, fazem referência à consolidação dos resultados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações da APF.
Finalmente, é oportuno consignar que os resultados obtidos com relação ao CNJ podem ser extrapolados para todo o Judiciário, pois a legislação encontrada não se restringe ao CNJ, mesmo aquelas produzidas pelo próprio órgão, pois que, pela sua missão institucional, as Resoluções e Portarias sobre governança de TI por ele emitidas destinaram-se aos tribunais indicados nos incisos II a VII do art. 92 da Constituição Federal.